Comments 26
При наличии режима «капитан очевидность» и root-прав не обязательно полагаться, что пользователь вот так вот просто оставил свои пароли лежать в открытом виде. Можно устроить MITM и выловить эти пароли прямо из трафика, а для случая TLS еще заменить системные сертификаты.
UFO just landed and posted this here
Осталось погуглить «lastpass утечка» и перестать пользоваться менеджерами паролей. Особенно забавно, когда все пароли передают стороннему сервису, ну или «защищают» сотню паролей одним мастер-паролем.
У Apple [преданным фанатом которой я являюсь] тоже все очень плохо. Недавно был очень удивлен. Открыл страничку авторизации для публичной Wi-Fi сети, жмякнул на поле логин и он сразу же предложил взять логин/пароль из связки ключей, я выбрал «Просмотреть доступные» или что-то в этом духе и он без всяких запросов [пароля Apple ID, Touch ID или хотя бы локального пароля от устройства] показал мне все наборы std::tuple<сайт, логин, пароль>.
Чтобы получить доступ ко всем сохраненным паролям в Firefox нужно 6 кликов мышью
а если учесть тот факт, что хром синхронизирует настройки/пароли между десктопом и мобильной версией… а данные кредиток он там же хранит? (ну, автокомплит для полей форм, он там часто предлагает запомнить инфу по карточке).
В браузере в хроме хранится 4 цифры последние. Если есть вариант подставить свою карту
Агануда
Я подумал мы говорили о картах из Google Wallets, они тоже тянутся в хром.
А те пароли, что вы показали, не синкаются. Можете проверить.
Не надоело пальцем в небо тыкать? Я-то, как раз, проверил
Вот мои карты с хрома. Одна из них — фейковая, нашел при помощи генератора карт, вставил в хроме. Одна из Google Wallet — я не могу её посмотреть.
Спорить больше не буду, так как вы, скорее всего, ввели их в браузере хрома на андроиде. Если даже и нет(в чем я сомневаюсь), то с такой манерой общения мне дело не хочется иметь больше.
Все карты
Фейковая карта
Скриншот с андроида
Спорить больше не буду, так как вы, скорее всего, ввели их в браузере хрома на андроиде. Если даже и нет(в чем я сомневаюсь), то с такой манерой общения мне дело не хочется иметь больше.
UFO just landed and posted this here
Помню, несколько лет назад делал простенькую программу, которая при запуске на ПК пользователя искала cookie файл Google Chrome и вытягивала оттуда данные авторизации с конкретного сайта (cookie файл был обычным текстовым документом). В итоге получалась фича, когда при первом запуске программы она сама авторизовывалась под аккаунтом пользователя, без ввода логина/пароля. Позже Google Chrome стал шифровать cookie файл и фича стала неактуальна.
По поводу самой публикации, могу еще добавить что есть официальный сервис от Google, на котором можно посмотреть в открытом виде все сохраненные в Google Chrome пароли — https://passwords.google.com
По поводу самой публикации, могу еще добавить что есть официальный сервис от Google, на котором можно посмотреть в открытом виде все сохраненные в Google Chrome пароли — https://passwords.google.com
UFO just landed and posted this here
Зачем вообще хранить пароли на локальной машине? Ведь браузер актуален только при наличии доступа к сети, а значит пароль при входе на какую либо страницу можно "забирать" прямо с сервера Google (passwords.google.com)...
Вопрос к автору. А где исходники программы? А то некрасиво получается (не то чтобы паранойя), но все же...
Sign up to leave a comment.
Хранение пользовательских паролей в Google Chrome на Android